泛微Ecology后台远程代码执行漏洞风险通告
泛微Ecology后台远程代码执行漏洞风险通告 赛博昆仑CERT 2025-04-14 11:02 赛博昆仑漏洞 安全风险通告 泛微Ecology后台远程代码执行漏洞风险通告 漏洞描述 泛微协同管理应用平台(e-cology)是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台,形成了一系列的通
继续阅读标签: vx
直播回顾 | 2025百家说事:企业出海之安全观
直播回顾 | 2025百家说事:企业出海之安全观 原创 管窥蠡测 安在 2025-04-14 10:47 在“一带一路”深化与全球供应链重构驱动下,中国企业的全球化进程正从产品输出转向生态共建,但同时面临着数据跨境合规、基础设施网络攻击、员工安全及地缘政治风险等多重安全挑战。对此,网络安全厂商开启“双轨出海”:既通过海外设点构建全球化安全服务体系,也伴随企业出海全周期提供贴身安全赋能,形成攻防协同
继续阅读日产Leaf被曝存在远程控制漏洞
日产Leaf被曝存在远程控制漏洞 原创 PCAutomotive 安全脉脉 2025-04-14 10:46 近日,PCAutomotive在BlackHat Asia 2025会议上披露了一项针对日产Leaf的研究成果。研究人员通过一系列漏洞成功实现了对车辆的远程监控和物理控制。 PCAutomotive选择了2020年生产的第二代日产Leaf作为研究对象。 攻击者可以利用这些漏洞实现以下操作:
继续阅读上周关注度较高的产品安全漏洞(20250407-20250413)
上周关注度较高的产品安全漏洞(20250407-20250413) 原创 CNVD CNVD漏洞平台 2025-04-14 10:10 一、境外厂商产品漏洞 1、IBM Sterling File Gateway信息泄漏漏洞(CNVD-2025-06655) IBM Sterling File Gateway是美国国际商业机器(IBM)公司的一套文件传输软件。该软件可整合不同的文件传输活动中心,并
继续阅读黑客利用已修复的Fortinet FortiGate设备漏洞获取Root权限
黑客利用已修复的Fortinet FortiGate设备漏洞获取Root权限 信息安全大事件 2025-04-14 10:04 Fortinet发现威胁攻击者使用了一种复杂的后利用技术,即使在初始漏洞修复后仍能维持对FortiGate设备的未授权访问。 根据Fortinet最新调查报告,攻击者利用了三个已知漏洞(FG-IR-22-398、FG-IR-23-097和FG-IR-24-015)入侵Fo
继续阅读系统0day安全-IOT设备漏洞挖掘
系统0day安全-IOT设备漏洞挖掘 Ms08067实验室 Ms08067安全实验室 2025-04-14 10:02 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。然而,随着IoT设备的普及,安全问题也日益凸显。IoT设备漏洞挖掘成为了保障网络安全的重要一环。 入门到精通 成为IoT漏洞挖掘专家 🔍 顶尖讲师团队【SecureN
继续阅读BSSRC四周年活动联合礼包结果公示
BSSRC四周年活动联合礼包结果公示 BOSS直聘安全应急响应中心 2025-04-14 10:02
继续阅读Fortinet 漏洞再现,攻击者利用新方法入侵
Fortinet 漏洞再现,攻击者利用新方法入侵 看雪学苑 看雪学苑 2025-04-14 10:02 近期,网络安全领域风波不断,Fortinet 防火墙漏洞问题再次引发广泛关注。据相关报道,Fortinet 承认攻击者已找到新方法,利用其认为已在去年修复的三个漏洞。这些漏洞涉及 FortiGate 和 FortiOS 设备,攻击者通过创建符号链接(symlinks),将用户链接到根文件系统,从
继续阅读【已复现】泛微e-cology 前台SQL注入漏洞
【已复现】泛微e-cology 前台SQL注入漏洞 长亭安全应急响应中心 2025-04-14 10:02 泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。2025年4月,泛微官方发布了新补丁,修复了一处 SQL 注入漏洞。经分析,攻击者无需认证即可利用该漏洞,建议受影响的客户尽快修复漏洞。 漏洞描述 Description 01 漏洞成
继续阅读你知道JWT漏洞如何进行攻击利用吗?
你知道JWT漏洞如何进行攻击利用吗? 原创 夜风Sec 夜风Sec 2025-04-14 09:55 JWT攻击 研究 JSON Web 令牌 (JWT) 的设计问题和处理缺陷如何导致网站容易受到各种高严重性攻击。由于 JWT 最常用于身份验证、会话管理和访问控制机制,这些漏洞可能会危及整个网站及其用户。 jwt-00 什么是JWT? JSON Web 令牌 (JWT) 是一种在系统之间发送加密签
继续阅读推荐几款好用的Jwt漏洞工具
推荐几款好用的Jwt漏洞工具 原创 夜风Sec 夜风Sec 2025-04-14 09:55 集成的Jwt工具 – venom_jwt Github项目地址:https://github.com/z-bool/Venom-JWT jwttool02 爆破Jwt – c-jwt-cracker Github项目地址:https://github.com/brendan-riu
继续阅读高危!Vite任意文件读取漏洞安全风险通告
高危!Vite任意文件读取漏洞安全风险通告 应急响应中心 亚信安全 2025-04-14 09:54 近日,亚信安全CERT监控到安全社区研究人员发布安全通告,Vite存在一个任意文件读取漏洞,编号为 CVE-2025-31486。由于Vite在处理特定URL请求时缺少对路径的安全检查,这导致攻击者可以通过构造特定的 URL 请求绕过服务器的保护机制,非法访问敏感文件。 目前官方已发布安全更新,亚
继续阅读雷神众测漏洞周报2025.4.7-2025.4.13
雷神众测漏洞周报2025.4.7-2025.4.13 原创 雷神众测 雷神众测 2025-04-14 09:51 摘要 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。 雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读当漏洞攻击遇上腾讯混元超能力:EdgeOne 的 Web 安全赛博决斗
当漏洞攻击遇上腾讯混元超能力:EdgeOne 的 Web 安全赛博决斗 腾讯安全 2025-04-14 09:44 《腾讯云2024年DDoS与应用安全威胁趋势报告》显示,利用漏洞和应用弱点的攻击手段愈发多样化和复杂化,2024年高危漏洞攻击总量超过 17亿次,面对这一严峻挑战,我们应该如何应对?接下来将为您讲解我们的最新尝试——基于大模型的漏洞识别能力,您可以通过托管规则-深度分析功能,率先体验
继续阅读网络安全动态 – 2025.04.14
网络安全动态 – 2025.04.14 Sugar Delta Insights 2025-04-14 09:30 网络安全动态 — Cyber Daily 2025.04.14 Tycoon2FA钓鱼工具再进化,利用SVG文件及Unicode绕过防护 关键词:钓鱼工具 检测绕过 2025年04月12日报道。 知名Phishing-as-a-Service平台Tycoon2FA近
继续阅读安全热点周报:PipeMagic 木马利用 Windows 零日漏洞部署勒索软件
安全热点周报:PipeMagic 木马利用 Windows 零日漏洞部署勒索软件 奇安信 CERT 2025-04-14 09:15 安全资讯导视 • 《数据安全技术 政务数据处理安全要求》等6项网络安全国家标准发布 • 摩洛哥国家社保基金遭网络攻击,近200万民众敏感数据或泄露 • 美国工业传感器上市公司森萨塔遭勒索攻击,生产运营被迫中断 PART01 漏洞情报 1.Foxmail for W
继续阅读日产 Leaf 电动汽车被曝存在漏洞,黑客可远程操控车辆
日产 Leaf 电动汽车被曝存在漏洞,黑客可远程操控车辆 原创 HackerNews 安全威胁纵横 2025-04-14 08:43 研究人员发现一系列漏洞,可被利用来远程控制日产Leaf电动汽车的功能,包括物理控制功能。 研究人员发现,日产Leaf电动汽车存在一系列漏洞,攻击者可利用这些漏洞远程入侵车辆,进行监视甚至接管车辆的多项功能。这项研究由提供汽车和金融服务行业渗透测试及威胁情报服务的公司
继续阅读记一次某EDU站点实战从任意文件读取漏洞到RCE
记一次某EDU站点实战从任意文件读取漏洞到RCE 原创 Mstir 星悦安全 2025-04-14 06:36 点击上方 蓝字 关注我们 并设为 星标 0x01 过程 前年的事情,漏洞已提交并修复,这里着重讲思路及漏 洞 利用 最大化. 一开始是模糊测试扫描到一个接口,发现这个接口可以去读取任意文件,并且返回Base64编码后的内容. 这里是需要看读取权限 的大小,若权限足够大,才可以读取到roo
继续阅读国外:一周网络安全态势回顾之第94期
国外:一周网络安全态势回顾之第94期 原创 铸盾安全 河南等级保护测评 2025-04-14 05:54 以下是本周回顾: 日立能源漏洞 美国CISA发布了两份公告,描述了日立能源产品中的漏洞。一份公告描述了RTU500系列产品中的两个高严重性和两个中等严重性漏洞,这些漏洞可用于发起DoS攻击。第二份公告描述了TRMTracker应用程序中的三个中等严重性漏洞,这些漏洞可导致远程命令执行、Web缓
继续阅读CVE-2021-31956 Windows 内核漏洞(NTFS 与 WNF)利用 —— 第二部分
CVE-2021-31956 Windows 内核漏洞(NTFS 与 WNF)利用 —— 第二部分 Alex Plaskett securitainment 2025-04-14 05:37 【翻译】CVE-2021-31956 Exploiting the Windows Kernel (NTFS with WNF) – Part 2 引言 在 第一部分[1] 中,我们主要讨论了以下内容: &#
继续阅读SpEL表达式漏洞注入内存马
SpEL表达式漏洞注入内存马 原创 暗月大徒弟 moonsec 2025-04-14 04:22 1.实验环境 jdk8 202 springboot 1.3.0.RELEASE 2.漏洞代码 package code.landgrey.controller; import org.springframework.expression.Expression; import org.springf
继续阅读赏金故事 | 入侵 Google 自家的漏洞追踪系统,并拿下1.5w$
赏金故事 | 入侵 Google 自家的漏洞追踪系统,并拿下1.5w$ 白帽子左一 白帽子左一 2025-04-14 04:01 扫码领资料 获网安教程 来Track安全社区投稿~ 赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn) 你听说过 Google 的 Issue Tracker 吗?大概没有,除非你是 Google 的员工,或者是最近在使用 Google 工具时提交过漏
继续阅读针对漏洞安全研究人员的钓鱼攻击
针对漏洞安全研究人员的钓鱼攻击 原创 pandazhengzheng 安全分析与研究 2025-04-14 00:30 安全分析与研究 专注于全球恶意软件的分析与研究 前言概述 通过GitHub项目钓鱼针对安全研究人员进行钓鱼攻击已经不是第一次了,此前Lazarus APT组织就曾使用GitHub项目针对漏洞研究人员进行钓鱼攻击,盗取漏洞研究人员高价值漏洞,该组织通过建立技术BLOG、发布漏洞分析
继续阅读从CVE-2025-30208到CVE-2025-31125再到CVE-2025-31486
从CVE-2025-30208到CVE-2025-31125再到CVE-2025-31486 船山信安 2025-04-13 16:04 最近有花了一些时间看vite任意文件读取相关的一系列漏洞,下面打算以漏洞发现者的视角,讲讲这些漏洞的一些要点 CVE-2025-30208 CVE-2025-30208这个漏洞其实是历史漏洞 CVE-2024-45811 的绕过,在CVE-2024-45811核
继续阅读工具推荐 | OSS存储桶遍历漏洞自动化利用工具
工具推荐 | OSS存储桶遍历漏洞自动化利用工具 jdr2021 星落安全团队 2025-04-13 16:02 点击上方 蓝字 关注我们 现在只对常读和星标的公众号才展示大图推送,建议大家能把 星落安全团队 “ 设为星标 ”, 否则可能就看不到了啦 ! 工具介绍 由于经常遇到存储桶遍历漏洞,直接访问文件是下载,不方便预览,且甲方要求证明该存储桶的危害,,因此该工具应运而生。 使用javafx 做
继续阅读EncryptHub 与 Windows 系统上的 MMC 零日漏洞攻击有关
EncryptHub 与 Windows 系统上的 MMC 零日漏洞攻击有关 Rhinoer 犀牛安全 2025-04-13 16:01 一个名为 EncryptHub 的攻击者被发现与利用本月修补的 Microsoft 管理控制台漏洞的 Windows 零日漏洞攻击有关。 趋势科技员工研究员 Aliakbar Zahravi 发现,这种安全功能绕过(被称为“MSC EvilTwin”,目前跟踪为
继续阅读通过HOST碰撞发现更多资产和漏洞|挖洞技巧
通过HOST碰撞发现更多资产和漏洞|挖洞技巧 X1lyS/Yf3te 渗透安全HackTwo 2025-04-13 16:01 0x01 前言 HOST碰撞的概念已提出很久了,但是网上的部分文章感觉都解释得不太详细,可能是作者水平比较高的缘故哈哈,自行省略了很多细节没谈。于是想写一篇新手师傅也能看懂的HOST碰撞的文章,解释清楚HOST碰撞到底原理是啥,怎么利用?怎么修复? 参考文章:https
继续阅读黑客如何用一张图片掏空你的服务器?揭秘SSRF漏洞的致命陷阱
黑客如何用一张图片掏空你的服务器?揭秘SSRF漏洞的致命陷阱 原创 筑梦网安 全栈安全 2025-04-13 16:01 SSRF(服务器端请求伪造)漏洞已成为黑客攻击的重要手段之一。通过利用这一漏洞,攻击者可以通过发送特制的请求,获取服务器内部的敏感信息,甚至完全控制服务器。本文将深入探讨SSRF漏洞的工作原理,以及黑客如何利用一张图片来实施攻击,揭示这一致命陷阱的本质。 开篇故事:一张“合法请
继续阅读Zyxel-USG-Series-账户硬编码漏洞(CVE-2020-29583)
Zyxel-USG-Series-账户硬编码漏洞(CVE-2020-29583) 原创 骇客安全 骇客安全 2025-04-13 16:00 FOFA: title="USG40" Username: zyfwp Password: PrOw!aN_fXp 该帐户可以同时在SSH和Web界面上使用。 $ ssh [email protected] Password: Pr*
继续阅读